Intelligenza Artigianale

Dal blog

Phishing e AI: come riconoscere e proteggere la PMI

L'AI genera phishing più sofisticati ma aiuta anche a bloccarli. Come proteggere email e dipendenti della PMI.

di Redazione
pubblicato il 10 aprile 2026 13 min lettura
Phishing e AI: come riconoscere e proteggere la PMI — illustrazione editoriale

Le email truffa non sembrano più truffe

Fino a due anni fa, riconoscere un’email di phishing era relativamente semplice. Bastava cercare errori grammaticali, formule generiche come “Gentile cliente”, link sospetti con domini improbabili. Nel 2026, questa sicurezza non esiste più. L’intelligenza artificiale generativa ha cambiato le regole del gioco: i criminali informatici usano gli stessi modelli linguistici che la tua azienda impiega per scrivere email commerciali, ma li usano per creare messaggi di phishing praticamente perfetti.

I numeri sono inequivocabili. Secondo il rapporto KnowBe4, l’82,6% delle email di phishing analizzate tra settembre 2024 e febbraio 2025 conteneva contenuti generati o ottimizzati tramite AI — un aumento del 53,5% rispetto all’anno precedente. Gartner stima che entro la fine del 2026 il 90% delle email di phishing sarà prodotto con l’aiuto dell’intelligenza artificiale. E i risultati si vedono: le campagne di phishing potenziate dall’AI registrano un tasso di clic superiore del 135% rispetto a quelle tradizionali.

Per una PMI italiana, questo non è un problema astratto. Il Rapporto Clusit 2026, presentato a marzo al Security Summit di Milano, certifica che l’Italia ha subito 507 incidenti gravi nel 2025, il 42% in più rispetto all’anno precedente, e il phishing resta il vettore di attacco più diffuso nel nostro Paese, responsabile del 35% degli incidenti informatici. Il 43% degli attacchi colpisce le PMI, con un danno medio di 59.000 euro per incidente. E lo spear phishing — quello mirato a singole persone — colpisce ormai il 65% dei dirigenti italiani con messaggi personalizzati generati dall’AI.

Questo articolo ti spiega come funziona il phishing potenziato dall’AI, come riconoscerlo, e soprattutto come proteggere la tua PMI usando la stessa tecnologia a tuo vantaggio.

Come l’AI ha trasformato il phishing: da artigianale a industriale

Per capire come difendersi, serve capire cosa è cambiato. Il phishing tradizionale era un’operazione a basso costo e bassa qualità: email generiche, inviate a migliaia di indirizzi, scritte male, con la speranza che qualcuno abboccasse. L’AI ha eliminato ogni limite di scala e qualità.

Email perfette in qualsiasi lingua

I modelli linguistici generano testi grammaticalmente impeccabili in italiano, con il tono giusto, il registro appropriato e riferimenti contestuali credibili. Un’email di phishing generata dall’AI può imitare perfettamente lo stile di comunicazione della tua banca, del tuo commercialista o di un fornitore abituale. Non ci sono più gli errori ortografici che facevano scattare il sospetto.

Personalizzazione di massa

Grazie all’AI, un attaccante può raccogliere informazioni pubbliche su LinkedIn, sul sito aziendale e sui social media, e usarle per creare messaggi personalizzati per ogni destinatario. Non più “Gentile cliente” ma “Buongiorno dott. Bianchi, in riferimento al preventivo che ha richiesto martedì scorso per il progetto di Via Garibaldi”. Questa tecnica si chiama spear phishing e l’AI l’ha resa accessibile a chiunque, non solo ai gruppi criminali sofisticati.

Velocità e volume senza precedenti

Quello che prima richiedeva ore di lavoro manuale per ogni email mirata ora si genera in secondi. Un attaccante può produrre centinaia di varianti personalizzate in pochi minuti, testare quale funziona meglio e iterare. È lo stesso principio dell’A/B testing nel marketing, applicato alle truffe.

Nuovi vettori di attacco

L’AI non si limita alle email testuali. I deepfake vocali permettono di simulare la voce di un dirigente che chiede un bonifico urgente — una truffa nota come CEO fraud. I QR code di phishing (quishing) sono aumentati del 400% tra il 2023 e il 2025, spesso inseriti in documenti apparentemente legittimi. Gli attacchi adversary-in-the-middle (AiTM), che intercettano le sessioni anche dopo l’autenticazione a due fattori, sono cresciuti del 146% nel 2024.

Il Business Email Compromise potenziato

Il Business Email Compromise (BEC) — la truffa in cui l’attaccante si finge un dirigente, un fornitore o un partner per farsi inviare denaro — ha causato perdite per 2,77 miliardi di dollari negli Stati Uniti nel solo 2024. Con l’AI, i messaggi BEC sono diventati indistinguibili dalle comunicazioni reali. Il numero di attacchi BEC con richiesta di bonifico è cresciuto del 33% nel primo trimestre 2025 rispetto al trimestre precedente.

I segnali che l’AI non riesce ancora a mascherare

Nonostante la qualità sia migliorata drasticamente, le email di phishing potenziate dall’AI lasciano ancora tracce riconoscibili. Non sono più errori grammaticali, ma anomalie di contesto e processo. Ecco cosa insegnare al tuo team a cercare.

Urgenza innaturale

La leva più usata resta la pressione temporale: “entro oggi”, “azione immediata richiesta”, “il tuo account verrà bloccato tra 2 ore”. L’AI genera messaggi con un senso di urgenza molto convincente, ma il principio resta lo stesso: se un’email ti mette fretta su un’azione critica (un pagamento, una modifica password, la condivisione di credenziali), il primo istinto deve essere rallentare, non accelerare.

Canale insolito per la richiesta

Il direttore commerciale che chiede un bonifico urgente via email invece di chiamare. Il fornitore che manda le nuove coordinate bancarie su WhatsApp. Il commercialista che invia un link per scaricare documenti fiscali da un servizio cloud sconosciuto. Ogni volta che una richiesta critica arriva da un canale diverso dal solito, il sospetto deve scattare automaticamente.

Disallineamento tra mittente e dominio

L’AI può scrivere il messaggio perfetto, ma non può falsificare completamente l’infrastruttura tecnica. Controllare l’indirizzo email completo del mittente — non solo il nome visualizzato — è ancora una delle difese più efficaci. Se il nome dice “Mario Rossi - Studio Commercialista” ma l’indirizzo è mario.rossi@gmail.com invece di m.rossi@studiorossi.it, è un campanello d’allarme.

Richieste che rompono le procedure

Qualsiasi email che chieda di bypassare una procedura consolidata è sospetta. “Non passare dall’amministrazione, fai direttamente tu”. “Non serve l’approvazione del responsabile questa volta”. “Ti mando le istruzioni io, non seguire la procedura standard”. L’AI può imitare il tono di un collega, ma non può sapere quali sono le vostre procedure interne — a meno che queste non siano state rese pubbliche o compromesse.

Anche se il testo è perfetto, un link o un allegato che non ti aspettavi merita verifica. Prima di cliccare, passa il mouse sopra il link per vedere l’URL reale. Se il dominio non corrisponde a quello ufficiale dell’organizzazione che sembra averti scritto, fermati. Se hai dubbi, contatta il mittente apparente attraverso un canale diverso (telefono, chat interna) per confermare.

Cinque difese concrete che una PMI può attivare subito

Non servono budget da grande azienda per ridurre drasticamente il rischio di phishing. Servono processi chiari, strumenti accessibili e un minimo di disciplina. Ecco cinque difese che puoi implementare in una settimana.

1. Configura SPF, DKIM e DMARC sulle tue email

Queste tre sigle indicano protocolli di autenticazione delle email che impediscono ad altri di inviare messaggi a nome del tuo dominio. Senza di essi, chiunque può mandare un’email che appare provenire dal tuo indirizzo aziendale — ai tuoi clienti, ai tuoi fornitori, ai tuoi stessi dipendenti.

  • SPF (Sender Policy Framework) dichiara quali server sono autorizzati a inviare email per il tuo dominio.
  • DKIM (DomainKeys Identified Mail) aggiunge una firma crittografica che certifica che il messaggio non è stato alterato.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance) dice ai server riceventi cosa fare con le email che non superano i controlli SPF/DKIM.

La configurazione richiede interventi sul DNS del dominio. Il tuo provider di posta o il tuo tecnico IT possono farlo in poche ore. È gratuito e protegge sia te sia i tuoi interlocutori.

2. Attiva il filtro anti-phishing avanzato del tuo provider email

Se usi Microsoft 365 o Google Workspace, hai già accesso a filtri anti-phishing basati su AI che analizzano il contenuto, il comportamento del mittente e la reputazione dei link. Il problema è che spesso non sono configurati al massimo livello di protezione.

In Microsoft 365, attiva le Safe Links e Safe Attachments di Microsoft Defender for Office 365. In Google Workspace, verifica che le protezioni avanzate contro phishing e malware siano attive nelle impostazioni di Gmail per la tua organizzazione. In entrambi i casi, attiva anche l’avviso visivo per le email provenienti da mittenti esterni all’organizzazione: quel banner giallo “Attenzione: questo messaggio proviene dall’esterno” è un promemoria semplice ma efficace.

3. Introduci la regola del doppio canale per le operazioni critiche

Stabilisci una regola chiara e non derogabile: nessun bonifico, nessuna modifica di coordinate bancarie e nessuna condivisione di credenziali può essere eseguita sulla base di una sola email. Serve sempre una conferma attraverso un secondo canale — una telefonata al numero già noto (non a quello scritto nell’email), un messaggio sulla chat aziendale o una conferma di persona.

Questa regola è la difesa più efficace contro il Business Email Compromise. Non costa niente, non richiede tecnologia e blocca la stragrande maggioranza delle truffe finanziarie via email. Inseriscila nella policy AI aziendale e assicurati che tutti la conoscano.

4. Fai simulazioni di phishing trimestrali

Le simulazioni di phishing — email di test inviate ai dipendenti per verificare chi clicca e chi segnala — sono lo strumento più efficace per costruire consapevolezza. Non si tratta di “beccare” qualcuno in fallo, ma di creare un riflesso condizionato: quando arriva un’email sospetta, il primo istinto deve essere segnalarla, non cliccare.

Esistono piattaforme accessibili anche per le PMI (KnowBe4, Proofpoint Security Awareness, Sophos Phish Threat) che permettono di lanciare campagne di test, misurare i risultati e fornire micro-formazione immediata a chi cade nel test. Il costo parte da pochi euro per utente al mese.

L’obiettivo non è arrivare a zero clic — è irrealistico. L’obiettivo è che chi clicca sia l’eccezione e che la segnalazione diventi la norma. Come per ogni processo aziendale, servono metriche e review periodiche: il libro Intelligenza Artigianale sottolinea che senza owner e senza misurazioni, qualsiasi iniziativa si degrada nel tempo.

5. Crea un canale di segnalazione rapida

I dipendenti devono avere un modo semplice e immediato per segnalare un’email sospetta. Un indirizzo email dedicato (es. segnala@tuaazienda.it), un canale nella chat aziendale o un pulsante “Segnala phishing” nel client di posta — sia Outlook che Gmail lo supportano. La cosa importante è che la segnalazione sia più facile dell’ignorare il problema, e che chi segnala riceva sempre un feedback (anche solo “grazie, verificato, era effettivamente un tentativo di phishing”).

Come l’AI ti aiuta a difenderti: strumenti accessibili per PMI

Se l’AI ha potenziato l’attacco, può potenziare anche la difesa. E qui la buona notizia: molti strumenti di difesa basati su AI sono già inclusi nei servizi che probabilmente stai già pagando, o sono disponibili a costi accessibili.

Filtri email intelligenti di nuova generazione

I filtri anti-spam tradizionali lavorano su regole statiche: blacklist di domini, parole chiave sospette, reputazione del mittente. I filtri basati su AI aggiungono capacità molto più sofisticate.

L’analisi semantica contestuale permette al filtro di comprendere l’intento dell’email, non solo le parole usate. Un’email che dice “ti prego di aggiornare urgentemente le credenziali del portale” viene analizzata non solo per le parole “urgentemente” e “credenziali”, ma per il pattern complessivo: chi la manda, a chi, se è coerente con le comunicazioni precedenti, se il link punta dove dice di puntare.

L’analisi comportamentale confronta ogni email con i pattern di comunicazione abituali. Se un fornitore che ti scrive sempre in italiano improvvisamente manda un’email in inglese, o se un collega che non ti ha mai chiesto bonifici improvvisamente ne richiede uno urgente, il sistema segnala l’anomalia.

Il rilevamento di anomalie nei link analizza non solo il dominio ma l’intera catena di redirect, verificando in tempo reale se la pagina di destinazione è un sito di phishing appena creato — anche se il dominio sembra legittimo.

Strumenti specifici per PMI

Non serve acquistare soluzioni enterprise da centinaia di migliaia di euro. Ecco le opzioni più accessibili.

Microsoft Defender for Office 365 (incluso nei piani Microsoft 365 Business Premium) offre protezione anti-phishing basata su AI, Safe Links, Safe Attachments e simulazioni di attacco integrate. Se usi già Microsoft 365, potresti averlo già disponibile senza costi aggiuntivi.

Google Workspace include protezioni anti-phishing avanzate basate su machine learning in tutti i piani business. Le funzionalità di sicurezza avanzate per Gmail analizzano miliardi di email al giorno per identificare pattern di phishing prima che raggiungano la tua casella.

Soluzioni dedicate come Barracuda Email Protection, Avanan (Check Point) o Proofpoint Essentials offrono protezione aggiuntiva specifica per le PMI, con prezzi a partire da 2-5 euro per utente al mese. Si integrano con Microsoft 365 e Google Workspace aggiungendo un ulteriore livello di analisi AI.

L’AI come strumento di formazione

L’AI può anche generare automaticamente simulazioni di phishing personalizzate per la tua azienda, basate sulle minacce reali più recenti nel tuo settore. Alcune piattaforme usano l’AI per creare percorsi di micro-formazione adattivi: chi mostra più difficoltà nel riconoscere le email di phishing riceve esercizi più frequenti e mirati, chi dimostra competenza procede più velocemente.

Il fattore umano: formare il team senza terrorizzarlo

La tecnologia da sola non basta. Il 68% delle violazioni di dati coinvolge il fattore umano, secondo il Data Breach Investigations Report 2025 di Verizon. E il 58% dei dipendenti non sa riconoscere un’email di phishing. La formazione è essenziale, ma deve essere fatta nel modo giusto.

Cosa non funziona

Non funziona la formazione terroristica: proiettare slide con titoli come “UN CLIC PUÒ DISTRUGGERE L’AZIENDA” genera ansia, non competenza. Non funziona la formazione una tantum: un corso di due ore fatto una volta l’anno viene dimenticato nel giro di una settimana. Non funziona la punizione di chi cade nelle simulazioni: crea una cultura della colpa che scoraggia le segnalazioni.

Cosa funziona

Funzionano le micro-sessioni frequenti: 10 minuti ogni mese, con esempi reali di phishing ricevuti dalla vostra azienda (anonimizzati), analisi di cosa li rendeva credibili e discussione su come riconoscerli. Funziona il rinforzo positivo: ringraziare pubblicamente chi segnala un’email sospetta, celebrare il team quando il tasso di segnalazione aumenta. Funziona la pratica contestualizzata: mostrare al commerciale un esempio di phishing che imita un ordine di acquisto, all’amministrativo uno che imita una richiesta di pagamento, all’HR uno che imita una candidatura.

Questa formazione dovrebbe essere parte integrante della governance AI aziendale. Se stai costruendo un percorso di adozione dell’AI nella tua PMI, la consapevolezza sulla sicurezza non è un tema separato — è un prerequisito. Perché non ha senso usare l’AI per velocizzare i processi se poi un’email di phishing blocca tutto per giorni.

La checklist per i dipendenti

Dai al tuo team una checklist semplice da tenere sulla scrivania o nel client di posta.

Prima di cliccare, chiediti:

  1. Mi aspettavo questa email? Se no, verifica con il mittente su un altro canale.
  2. Il mittente è chi dice di essere? Controlla l’indirizzo completo, non solo il nome.
  3. C’è urgenza innaturale? Se ti mettono fretta, rallenta.
  4. Mi chiedono dati, credenziali o denaro? Applica la regola del doppio canale.
  5. Il link porta dove dice di portare? Passa il mouse sopra prima di cliccare.
  6. Ho dubbi? Segnala. Meglio una segnalazione in più che un incidente in più.

Piano di protezione: cosa fare nei prossimi 30 giorni

Ecco un piano concreto per portare la protezione anti-phishing della tua PMI a un livello adeguato in un mese.

Settimana 1 — Verifica e configura. Controlla che SPF, DKIM e DMARC siano configurati correttamente sul tuo dominio. Verifica le impostazioni anti-phishing del tuo provider email e attivale al massimo livello. Attiva il banner per le email esterne.

Settimana 2 — Definisci le regole. Stabilisci e comunica la regola del doppio canale per operazioni critiche. Crea il canale di segnalazione rapida. Aggiorna la policy aziendale includendo le procedure anti-phishing.

Settimana 3 — Forma il team. Organizza una sessione di 30 minuti con esempi reali di phishing. Distribuisci la checklist. Spiega come funziona il canale di segnalazione e perché è importante usarlo.

Settimana 4 — Testa e misura. Lancia la prima simulazione di phishing. Misura il tasso di clic e il tasso di segnalazione. Usa i risultati per pianificare le sessioni formative successive.

Non è un piano perfetto, ma è un piano reale che una PMI con risorse limitate può eseguire senza consulenti esterni e senza bloccare il lavoro quotidiano. Per chi sta costruendo un percorso strutturato di adozione dell’AI, queste misure si integrano naturalmente nel piano di protezione dei dati sensibili — perché il phishing è il modo più frequente in cui quei dati escono dal perimetro aziendale.

Il phishing non si elimina, si gestisce

Il phishing esiste dalla nascita di Internet e l’AI non lo farà sparire — lo renderà più sofisticato da entrambi i lati. L’obiettivo realistico per una PMI non è eliminare ogni rischio, ma ridurre la superficie di attacco e costruire la capacità di reagire velocemente quando qualcosa supera le difese.

Le tre cose che fanno davvero la differenza sono: tecnologia di base configurata correttamente (SPF, DKIM, DMARC, filtri avanzati), processi chiari per le operazioni critiche (regola del doppio canale) e persone consapevoli che segnalano invece di cliccare.

Nessuna di queste tre difese è costosa. Nessuna richiede competenze avanzate. Tutte richiedono una decisione: smettere di considerare la sicurezza email come “un problema dell’IT” e iniziare a trattarla come un processo aziendale, con un owner, delle regole e una revisione periodica. Esattamente come qualsiasi altro processo in cui l’AI entra nella tua PMI.

Approfondisci questo tema

Questi topic hub collegano gli articoli più rilevanti sullo stesso argomento.

Topic hub

AI PMI

146 articoli collegati

Topic hub

Guida Pratica

93 articoli collegati

Topic hub

Sicurezza Dati

5 articoli collegati

Approfondimenti

Continua da qui

Il libro

Se vuoi trasformare questi articoli in un percorso operativo, vai al libro.

Questa pagina resta un approfondimento singolo. Nell’ebook trovi il metodo completo (solo digitale).

Vai al libro